Domäne Blacklisted (CBL,BARRACUDA) Verdacht auf Cutwail-Spambot im Netzwerk
 

Hallo zusammen,

ich werde zum ersten mal mit einer solchen Situation konfrontiert. Habe etwas Erfahrung mit dem entfernen von Viren/Rootkits auf PCs aber nicht im gesamten Netzwerk.

Situation:
Die Domäne über die Emails verschickt werden (mail.xyz.de) wird von mehreren Blacklists seit 2 Tagen gesperrt. Eine Abfrage über mx toolbox ergibt:
Listed auf BARRACUDA, CBL, MAILSPIKE-BL, Spamhaus-ZEN, TRUNCATE.

Außerdem erhalte ich beim Lookup auf der CBL Seite:
IP Address (von mir gelöscht) is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2013-01-07 12:00 GMT (+/- 30 minutes), approximately 1 days, 6 hours, 29 minutes ago.

This IP is infected (or NATting for a computer that is infected) with the cutwail spambot. In other words, it's participating in a botnet.

Im Netzwerk läuft ein 2007er Exchange Server mit McAfee Security for Exchange und auf den Clients/Servern McAfee VirusScan Enterprize.

Weder der AV noch der McAfee für den Mailserver schlagen in irgendeiner Weise Alarm. Auch die Anzahl der gelöschten/geblockten Spam-Mails in der Exchange-Konsole ist nicht höher als sonst.

Wie sollte ich hier vorgehen? Hat jemand Erfahrung mit so etwas oder zumindest einen Plan wie man vorgeht?

Ich habe nach Recherchen im Netz mehrere Versuche gestartet den Bot zu entdecken.. leider bin ich da wie es scheint ein wenig hilflos. Hoffe auf Hilfe oder zumindest ein paar Tips!

Gruß
Cyx

Hi, ist denn was in der mcafee Quarantäne?
du entfernst rootkits von firmen pcs? das einzige was es da gibt, Backup einspielen, alles andere ist zu unsicher.
Sind denn Backups vorhanden? die würd ich erst mal einspielen
das geht auf jeden fall schneller, als das gesammte Netzwerk zu durchsuchen.
wie lange besteht das Problem?

Wo? Auf den Servern? Die gesamte letzte Woche wurden nur 5 Files in die Quarantäne geschoben. Das meiste sind "eicar.tmp" von Kerio Workspace.

Ich sagt ich habe Erfahrung damit auf PCs. In Firmen generell: Platte wipen / neu installieren/Image.

Klar gibt es Backups.. aber was soll ich den wieder einspielen? Alle Server? Den Exchange-Stand von vor 2 Tagen? Ist es nicht wahrscheinlicher das das Ding irgendwo auf nem Client sitzt?

Seit 07.01. früher Vormittag.

Danke schonmal
Cyx

Hi,
ok, manche machen das nicht so konsequent, deswegen die Frage.
da du einen Windows Server nutzt, könnte er auch da sitzen, würde daher mit denen anfangen.
wie viele clients sinds denn?

kannst du denn auf die mdcafee quarantäne ordner der anderen PC's zugreifen, manche bieten das ja so an, dass du über den Servre alles einsehen kannst, irgendwas auffälliges da?

12 Server in VMs, 3 Physikalische, ~150 clients

Ja, kann ich.. ne menge kryptischer Kram. 100+ Dateien mit random-name.bup

5 von heute, 4 von gestern. (Exchange-Server)

4 von gestern (ORA-DB Server)

Kann sonst nichts entdecken. Es gibt nur 5 Dateien im ganzen Netz die McAfee angeblich nicht kennt/scannen kann und die gehören zu unserem Kerio (war schon immer so)

Hi,
was man evtl. probieren könnte, währe hitmanpro for network:
http://files.surfright.nl/hmp-comman...erence-1_3.pdf
hoffe, dies läuft als Beta.
Damit könnte man alle PC's im Netzwerk prüfen + Server etc, und dann mal schauen, ob etwas zu finden ist.
HitmanPro 3 - SurfRight
die Logs packen, und anhängen, erst mal nichts löschen.

Hallo Markusg,

hast du Erfahrungen mit dem Tool? Ich lese gerade die Doku. Danke schon mal für den Tip.

Cyx

Hi
mit dem Tool ansich, ja, aber nicht über ein Netzwerk.
ist recht gründlich, enthält einige Scanner, kommt recht gut mit allen Arten von schadsoftware zurecht.